ФБР предупреждава, че Silent Ransom Group физически се представя за ИТ персонал в адвокатски кантори

ФБР предупреждава, че Silent Ransom Group физически се представя за ИТ персонал в адвокатски кантори

ФБР издаде официално предупреждение, че заплаха, известна като Silent Ransom Group (SRG), атакува адвокатски кантори чрез комбинация от социално инженерство и физическо представяне под чужда самоличност. За разлика от повечето кибератаки, които произхождат от отдалечени локации, оперативните лица на SRG се появяват лично, представяйки се за ИТ помощен персонал, получават физически достъп до офис устройства, крадат чувствителни данни и след това изнудват организациите. За юридическите професионалисти, които приемат, че цифровите им защити са достатъчни, това предупреждение е сериозен сигнал за събуждане.

Как Silent Ransom Group получава физически достъп до мрежите на адвокатски кантори

Механиката на подхода на SRG е проста, но изключително ефективна. Нападателите извършват разузнаване на целевата адвокатска кантора, идентифицирайки персонал, офис локации и ИТ работни процеси. След това те физически се представят в офиса, имитирайки ИТ техници или помощни контрактори. Като проектират увереност и запознатост със средата на кантората, те убеждават служителите да им предоставят достъп до компютри, сървъри или други мрежови устройства.

Веднъж попаднали вътре, групата извлича данни директно от машините, до които има физически достъп. Това може да включва клиентски файлове, документация по дела, финансови записи или привилегирована комуникация. След извличането на данните, жертвите получават искания за изнудване, със заплаха за публикуване или продажба на откраднатата информация, ако не бъде извършено плащане.

Адвокатските кантори са особено привлекателна цел в този модел. Те съхраняват огромни обеми от чувствителни, привилегировани и често поверителни клиентски данни. Също така, исторически погледнато, те са институции, изградени върху доверие и професионални взаимоотношения, което прави служителите по-склонни да окажат учтивост на някой, който изглежда, че е там в официално качество.

Защо VPN и мрежовото сегментиране не спират някой, който вече е в стаята

Повечето разговори за киберсигурност се съсредоточават върху отдалечени заплахи: фишинг имейли, пълнене на идентификационни данни (credential stuffing), рансъмуер, доставен чрез злонамерени линкове. Инструментите, които обикновено се внедряват в отговор, включително VPN, защитни стени и мрежово сегментиране, са проектирани да контролират какъв трафик влиза и излиза от системата през интернет. Те са до голяма степен без значение, когато нападателят седи на работна станция вътре в сградата.

Атаките с физическо представяне под чужда самоличност, пред които са изправени адвокатските кантори от групи като SRG, заобикалят всеки слой на мрежово-базирана защита. Ако на някого бъде дадено място на влязъл в системата компютър, многофакторното удостоверяване вече е преминато. Ако включи USB устройство или достъпи споделена папка през локалната мрежа, криптираните тунели между отдалечени потребители не значат нищо. Мрежовото сегментиране може да ограничи страничното придвижване до известна степен, но не предотвратява достъпа до това, което вече е достъпно от използваното устройство.

Това е основният проблем с третирането на киберсигурността като чисто техническа дисциплина. Човешкото поведение и физическата среда създават повърхности за атака, които нито един софтуерен продукт не адресира напълно. Същият принцип се прилага и при вътрешни заплахи и злоупотреба с идентификационни данни, както се вижда в случаите, когато контролите за достъп се заобикалят не чрез сложно хакерство, а чрез проста човешка грешка или небрежност – модел, разгледан в отразяването на контрактор на CISA, който изложи AWS ключове и пароли в публично GitHub хранилище.

Архитектура с нулево доверие и физически контроли за сигурност, които реално смекчават тази заплаха

Архитектурата с нулево доверие често се обсъжда в контекста на отдалечен достъп, но нейният основен принцип се прилага директно тук: никога не приемай, че дадено лице или устройство трябва да има достъп, само защото изглежда, че са на правилното място. За физическите среди това се превежда в няколко конкретни практики.

Първо, процесите за проверка на посетители и доставчици трябва да бъдат формализирани и последователно прилагани. Всяко лице, което твърди, че е от ИТ поддръжката, трябва да бъде проверено чрез независим канал, преди да му бъде предоставен неконтролиран достъп до което и да е устройство. Това означава директно обаждане на ИТ отдела, а не използване на номер, предоставен от посетителя, и потвърждение, че посещението е било планирано.

Второ, работните станции и устройства трябва да изискват повторно удостоверяване след всеки период на неактивност и в идеалния случай не трябва да остават влезли в чувствителни системи, когато са без надзор. Физически ключалки за портове или USB блокери могат да предотвратят неоторизирани трансфери на данни от устройства, до които е осъществен достъп без разрешение.

Трето, регистрирането на достъп на ниво устройство има значение. Ако неоторизирано лице получи достъп, съдебните следи помагат да се идентифицира какво е взето и да се ограничи обхватът на последващо искане за изнудване.

И накрая, обучението на служителите трябва изрично да адресира сценарии за физическо социално инженерство, а не само фишинг имейли. Служителите в адвокатски кантори, особено тези на рецепция, трябва да знаят, че учтивостта и подчинението спрямо привиден авторитет са точно чертите, които нападателите експлоатират.

Какво означава това за вас: Приложими стъпки за професионалисти в чувствителни индустрии

Ако работите в правото, финансите, здравеопазването или която и да е друга сфера, която обработва привилегирована или регулирана информация, предупреждението за SRG трябва да предизвика преглед както на вашата цифрова, така и на физическа позиция по сигурността. Ето откъде да започнете:

• Одитирайте протоколите за достъп на посетители. Има ли вашата организация формален процес за проверка на непланирани ИТ посещения? Ако отговорът е не или е неясен, тази празнина трябва да се затвори незабавно.
• Прегледайте политиките за заключване на устройства и удостоверяване. Устройствата, които се заключват автоматично след неактивност и изискват идентификационни данни за възобновяване, значително намаляват прозореца от възможности за физически нападател.
• Обучете персонала за физическо социално инженерство. Провеждайте сценарии с екипа си, при които някой се представя за доставчик или ИТ контрактор. Упражнявайте навика за проверка преди предоставяне на достъп.
• Оценете модела си за достъп до данни. Прилагайте принципи на най-малко привилегии, така че дори ако работната станция бъде компрометирана, нападателят да не може да достигне данни извън тези, които този конкретен потребителски акаунт нормално обработва.
• Проверете и политиките си за отдалечен достъп. Физическата сигурност и контролите за цифров достъп работят заедно. Прегледът на едното без другото оставя празнини.

Предупреждението на ФБР за Silent Ransom Group е напомняне, че ефективната сигурност изисква мислене за заплахите в три измерения: мрежата, устройството и стаята. За професионалистите в чувствителни индустрии, сега е моментът да оценят дали текущите ви протоколи биха спрели някой, който влезе през входната врата и изглежда така, сякаш му е мястото там.